網安/「點閱綁架」風暴 Facebook是最危險的社交網站?
更新日期:2010/06/07 09:29
http://tw.news.yahoo.com/article/.../17/27087.html記者蘇湘雲/綜合報導
資安業者警告,社交網站Facebook近來正受「點閱綁架(clickjacking)」蠕蟲攻擊,當以女藝人裸照為誘餌的垃圾網頁騙網友點撃進入後,會連到空白頁顯示「Click here to continue」,再點擊後會在臉書發布「讚(like)」訊息向友人推薦,成為協助攻擊散播的共犯,已有數萬人受害。
而據Sophos統計,自2009 年4月到12月透過社交網站傳佈的惡意攻擊已成長70%,其中,Facebook已被視為最危險的社交網站。報導指出,最新一波的攻擊模式是以知名搖滾樂團Paramore主唱Hayley Williams的裸照作為誘餌,在北美與英國展開「點閱綁架」。
Sophos資深技術顧問Gramham Cluley日前在部落格上發文指出,好幾萬網友遭到社交工程技倆所騙,而使得「點閱綁架」在Facebook上快速蔓延。
他指出,此類垃圾郵件的空白頁中其實有個「隱形的iFrame」,點選該頁任何地方其實都是按到「讚」,都會造成將該連結轉貼到自己的臉書首頁上與友人分享,協助在使用者動態頁上散播攻擊。
Sophos惡意程式研究專家Richard Cohen建議,如果網友不幸中了此毒,可採兩步驟解決。首先將該頁自「喜好與興趣頁」拿掉,接下來在自己的動態頁上刪除該頁,但是它還是會留在「最近動態」頁中,所以得往下拉才找得到。
BBC報導則說,此波攻擊除了衝高點閱率外,也順勢盜走資料,在跨瀏覽器的攻擊行動中,即便用戶中了陷阱時是在Facebook網頁中,卻會被盜走用IE、FireFox等開啟的資料。
雖然Facebook曾表示已封鎖相關惡意網站以及清除張貼惡意訊息的帳號,但Sophos的發現反映了「點閱綁架」攻擊行為並未被遏止,Cluley因此呼籲,Facebook必須更努力防範此類攻擊發生,並且在發生時反應應更快一點。